Codice della privacy: cos’è il GDPR e cosa prevede? Ecco il testo coordinato

Martina Cancellieri

27/09/2018

Codice della Privacy: il testo coordinato con il GDPR è ora disponibile sul sito del Garante. Ecco tutte le novità del nuovo regolamento UE relativo al trattamento dei dati personali.

Codice della privacy: cos’è il GDPR e cosa prevede? Ecco il testo coordinato

Il testo del Codice della Privacy coordinato con il GDPR è stato pubblicato il 19 settembre 2018 dall’Autorità Garante a seguito dell’emanazione del decreto di adeguamento della normativa italiana al Regolamento UE.

La privacy è un elemento fondamentale perché regola diversi settori come ad esempio quello condominiale, quello lavorativo e quello sanitario. È importante dunque rispettare le regole necessarie per tutelare il trattamento dei dati personali.

Il testo del decreto italiano di adeguamento al GDPR (General Data Protection Regulation) è entrato in vigore il 19 settembre 2018 ed integra il precedente Codice Privacy con le nuove regole stabilite dall’Unione Europea, con l’obiettivo di rafforzare ulteriormente la protezione delle persone fisiche in merito al trattamento dei dati personali.

L’obiettivo del Codice della privacy è di riordinare la normativa in tema di trattamento dei dati personali riunendo in un unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi ultimi anni.

Il nuovo regolamento europeo in materia di privacy introduce importanti novità in merito al trattamento dei dati personali, in particolare sono cambiate le regole per ciò che concerne il consenso, l’informativa, il diritto all’oblio e la conservazione limitata dei dati.

Testo coordinato del Codice della privacy pubblicato dal Garante

Dal 19 settembre 2018 è disponibile sul sito istituzionale del Garante Privacy il testo coordinato del Codice in materia di protezione dei dati personali che pone in evidenza tutte le novità e le disposizioni previste dal nuovo regolamento UE e segnala l’abrogazione di molti articoli.

Codice Privacy testo coordinato con il GDPR
Decreto Legislativo 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali” integrato con le modifiche introdotte dal Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679

Prima di andare a vedere come è strutturato il Codice della privacy, quali sono le novità introdotte in materia di protezione dei dati bisogna fare una premessa riguardante il testo coordinato pubblicato dal Garante Privacy sul proprio sito web.

Il testo coordinato del Codice della Privacy è stato reso disponibile dal Garante con il solo scopo informativo, evidenziando quindi le novità apportate dal nuovo regolamento UE, pertanto viene precisato che esso non ha valore ufficiale.

Viene inoltre ricordato che hanno valore ufficiale i soli testi normativi pubblicati in Gazzetta Ufficiale, in questo caso il testo del provvedimento attuativo del GDPR pubblicato in GU il 4 settembre 2018.

Codice della privacy: cosa cambia con il GDPR?

Il nuovo regolamento europeo sulla privacy (GDPR) entrato in vigore il 19 settembre 2018 ha apportato diverse novità al vecchio Codice sulla protezione dei dati personali. Andiamo ora a vedere quali sono le principali misure introdotte in materia di privacy.

La prima novità riguarda i fondamenti di liceità del trattamento dei dati personali. Il GDPR stabilisce che per il trattamento dei dati sensibili il consenso deve essere esplicito. Non è necessario che questo sia redatto in forma scritta.

In generale le nuove disposizioni prevedono misure più stringenti per i titolari delle aziende riguardo il trattamento dei dati personali in possesso.

Tali regole riguardano precisamente la “comunicazione” e la “diffusione” dei dati personali delle persone fisiche. Pertanto per il mancato rispetto delle regole saranno applicate sanzioni amministrative.

Per ciò che concerne i minori il nuovo regolamento della privacy stabilisce che il consenso degli stessi è valido a partire dai 16 anni, prima di tale età è necessario che il consenso venga dato dai genitori.

Un’altra novità introdotta dal GDPR riguarda l’informativa che ora dovrà essere chiara e di semplice comprensione. Inoltre il nuovo regolamento stabilisce che nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati.

Inoltre la modifica prevista dall’art. 9 Trattamenti nell’ambito del rapporto di lavoro tramite la disposizione “Informazioni in caso di ricezione di curriculum” stabilisce che nei casi di ricezione dei curricula inviati dai candidati, le informazioni devono essere fornite dai datori di lavoro al momento del primo contatto utile, successivo all’invio del CV.

Si prevede inoltre che “il consenso al trattamento dei dati personali presenti nei curricula non è dovuto”.

L’informativa dovrà essere redatta in forma scritta e preferibilmente in formato elettronico.

Oltre alle suddette novità è possibile ora per i consumatori chiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.

Non solo: per ciò che concerne il diritto all’oblio i consumatori possono ora richiedere la cancellazione dei propri dati personali nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.

Un’altra novità prevista dal GDPR è che la conservazione dei dati dell’utente non potrà essere illimitata ma la durata del trattamento deve essere collegata alla finalità per la quale è stato richiesto il consenso. Quindi se un’azienda che ricerca personale e richiede il consenso al trattamento dei dati relativi ai cv trasmessi, essa può ora conservarli solo per un periodo proporzionato all’attività di ricerca del personale.

Infine il nuovo regolamento europeo stabilisce che nel caso si verifichi una violazione dei dati personali il data breach il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante.


Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

La struttura del vecchio codice della privacy

Nell’adeguamento dell’ordinamento italiano sulla protezione e circolazione dei dati al nuovo regolamento UE (GDPR) sono stati abrogati un grosso numero di articoli del Codice della privacy (D.lgs. 196/2003).

Ciò è evidente anche dal testo coordinato del nuovo Codice della privacy pubblicato dal Garante dove è presente un lungo elenco di articoli abrogati a favore delle nuove regole più chiare e concise previste dal GDPR evidenziate in rosso.

L’ormai obsoleto Codice della privacy era precedentemente composto da 186 articoli e diviso in tre parti:

  • Disposizioni generali, riguardanti le regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche (II parte);
  • Disposizioni particolari per specifici trattamenti, ad integrazione od eccezione alle disposizioni generali (I parte);
  • Disposizioni relative alle azioni di tutela dell’interessato ed al sistema sanzionatorio cui si aggiungono le norme di modifica, finali e di carattere transitorio.

Il codice era completato poi da tre allegati:

  • allegato A: codici di deontologia;
  • allegato B: disciplinare tecnico in materia di misure minime di sicurezza;
  • allegato C: elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia che dovranno essere individuati entro il 30 giugno 2004 dai Ministeri competenti.

Quali sono i dati che vengono tutelati dal codice della privacy?

I dati che il codice della privacy tutela sono:

  • dati personali;
  • dati sensibili e giudiziari (dati particolari).

I dati personali sono le informazioni che identificano o rendono identificabili una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute e la sua situazione economica.

I dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili e dati giudiziari.

I dati sensibili sono i dati personali che rivelano l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

I dati giudiziari sono invece i dati personali relativi al casellario giudiziale, alle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.

Modalità del trattamento dei dati

Il codice della privacy prevede che i dati personali oggetto di trattamento devono essere:

  • trattati in modo lecito e secondo correttezza;
  • raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  • esatti e, se necessario, aggiornati;
  • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Informativa alla privacy

Il codice della privacy prevede inoltre l’obbligo di informativa nei confronti dei soggetti che rilasciano i propri dati personali.

In particolare il soggetto che decide di autorizzare il trattamento dei propri dati personali dovrà essere previamente informato tramite una comunicazione scritta o orale che deve contenere le seguenti indicazioni:

  • le finalità e le modalità del trattamento cui sono destinati i dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi.

Una volta che l’interessato ha ricevuto l’informativa, quest’ultimo dovrà dare il suo consenso per il trattamento dei dati personali.

Adeguamento del Codice della privacy alla normativa europea

L’entrata in vigore del nuovo regolamento UE sulla data protection ha previsto l’abrogazione della direttiva 95/46 CE che finora ha disciplinato il trattamento dei dati personali a livello comunitario.

Con un po’ di ritardo anche l’Italia si è finalmente adeguata al regolamento UE relativo al trattamento dei dati personali, nonché alla libera circolazione degli stessi. In Italia il Decreto Privacy è stato pubblicato in GU il 4 settembre 2018 ed è entrato in vigore il 19 settembre 2018.

Per la fase iniziale di attuazione delle regole si prevede maggiore elasticità, come richiesto dal Parlamento al Garante Privacy.

Si precisa che con l’adeguamento alle nuove disposizioni previste dal regolamento UE non significa che il Codice della Privacy è stato abrogato e riscritto daccapo, piuttosto sono state difatti disapplicate le sole disposizioni della legge interna che risultavano in contrasto con la nuova disciplina europea.

Argomenti

# Legge
Money academy

Questo articolo fa parte delle Guide della sezione Money Academy.

Visita la sezione

Iscriviti a Money.it